滴滴80.26亿罚款对企业数据合规的警示(上)

——如何搭建企业数据安全管理制度金字塔

2022-07-22

自2021年7月4日伊始针对滴滴全球股份有限公司的数据违法行为调查落下帷幕，国家互联网信息办公室于昨日对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

对滴滴本次处罚系我国目前就数据违法行为的最高处罚金额，也警示各个企业，“数据安全”不仅关系到企业的业务可持续发展，更是因其敏感性和重要性，关乎到企业的安全发展，避免违法违规风险。

我们在企业数据合规的项目中注意到部分企业对于“数据安全”的认识存在一定偏差，对于如何构建数据安全管理体系、如何落地运行数据安全管理制度处于“云里雾里”的状态，“企业数据安全管理体系的构建”的系列文章将协助企业对此有更为全面的了解。本文我们将对如何搭建起企业数据安全管理制度的“金字塔”进行分析，为企业有效开展数据合规管理工作提出有益思路。

一、为什么要构建企业数据安全管理体系

滴滴80.26亿元的罚款给全体涉数据企业敲响了合规警钟。除滴滴数据违法处罚事件外，IPO领域也不乏因数据合规涉及IPO申请被否的案例，监管多集中于企业获取和使用用户数据的合规性、内部控制制度的有效性以及数据采集、清洗、管理、运用等各方面的合规措施等。

由此可见，企业数据安全合规与否不仅仅影响到企业正常经营活动，在涉及企业IPO、寻求更广业务领域和进一步发展壮大的关键节点，数据安全合规也越来越被监管机关重视。可以预见的是，随着数据安全“三驾马车”的全面落地实施，数据安全合规将对企业日常经营和资本市场上市产生巨大影响，因此企业应提前做好规划和应对，未雨绸缪。

二、开展企业数据安全合规体系构建的前提与思路

提到数据安全合规，其中关键一环是合“规”，因此，开展企业数据安全合规体系构建工作的一个大前提，需要对我国目前的数据安全立法框架和监管机关执法现状有初步的了解。

我国在数据安全领域的立法大体上可以总结为“一般规定+专项规定”两步走，以传统立法为基础、以“三驾马车”为代表，附以特定领域针对性的专项规定，形成了我国目前数据安全立法的框架：

从监管部门的执法现状上来看，我国当前的数据安全保护监管呈现“多头+专项”的特征，即一个领域的数据安全保护问题往往涉及多个监管部门，且主要以专项行动为主，多个监管部门在短期内联合执法，对某一领域的数据不合规问题进行集中治理。以“互联网+医疗健康”行业中的互联网医疗电商平台为例，主管部门可以包括商务部、工业和信息化部、国家互联网信息办公室、国家市场监督管理总局、中央人民银行、国家发展和改革委员会、海关总署、交通运输部、国家税务总局、国家卫生健康委员会、国家医疗保障局等。相关专项数据安全治理活动，例如公安部组织部署的“净网2021”专项行动、“App违法违规收集使用个人信息专项治理”行动等也多次开展。

在这样的立法和执法背景下，企业搭建数据安全管理体系需要厘清思路：数据安全合规不仅仅是制度的构建，还涉及到制度的落地运行、与监管机关的沟通对接。其中，制度的落地运行不仅仅依赖于企业内部自上而下、从决策层到管理层最终落实到员工层良好的合规意识和文化建设，更要靠对于制度系统的事前防范、事中监测、评估以及事后问责和完善。

三、如何搭建企业数据安全管理制度金字塔

开始搭建企业数据安全管理制度“金字塔”前，首先需要界定“企业数据”的范围。很多企业存在“数据=个人信息”的认识误区，事实上，根据《数据安全法》规定，数据是指任何以电子或者其他方式对信息的记录，个人信息只是其中最为关键的一类。除个人信息外，产品信息、经营数据、研究成果、大数据分析报告等都属于“企业数据”，其中最为典型的就是企业的商业秘密。由此可见，数据安全不仅仅是个人信息的合规，同时与企业商业秘密保护息息相关。

企业数据安全管理制度金字塔的搭建包含两个层面的工作：确定负责数据安全工作的组织架构；设计适用于本企业的数据安全管理制度。下文我们将对此逐一分析。

（一）确定负责数据安全工作的组织架构

数据安全管理制度属于企业内部制度，只有设置完善的组织部门、将数据合规的义务责任落实到具体部门和人员，才能真正保证企业数据合规体系的高效运行，因此，确定组织架构是搭建企业数据安全管理制度金字塔的第一步。

企业数据安全管理组织架构通常应该包含一个最高决策部门，通常可由董事会担任，最高决策部门中设立数据合规负责人专门负责数据合规事务，通常可由董事会成员担任，负责建立起数据安全管理体系，对数据安全保护事项负全面领导责任，以及数据安全事件的决策应对；最高决策部门下设管理部门和监督部门，一般由董事会设立企业合规部门，负责各数据安全具体制度和实施细则的制定、各部门对应领域数据合规治理，直接向董事会汇报工作；监督部门负责制度运行中的风险监测和各部门对数据合规执行落地的监督；最后需要明确执行层，即各个业务部门，由部门负责人推动基层员工对于企业数据安全保护具体事项的落地实施。

从制度文件角度而言，上述组织架构设计及各层级部门对应的职能应在企业数据安全管理制度中予以体现。以监督层的审计部门为例，制度文件中可明确审计部门负责对于企业内部数据处理行为和场景进行安全风险评估，对于数据安全管理制度配合企业指定的外部专业机构进行半年度或年度的进行的安全风险审核与稽察。以执行层的人力资源部门为例，可要求人力资源部门在招聘、员工入职、在职、离职管理中执行相关个人信息处理细则要求，实现对于员工个人信息、敏感个人信息的合规处理。

实务中，多数企业已经有成熟的组织架构，例如法务部、人事部、业务部、运维IT部等，在设计数据安全管理体系的组织架构时可能存在疑问，如何将数据安全管理所需的组织架构与公司已经成型的组织架构结合起来。企业可以将“数据安全最高责任人”这一职位调整至企业组织架构中，在董事会层面设置一位或几位董事担任数据安全最高责任人，其后根据自身原有组织架构设计，融入决策层、管理层、监督层、执行层的架构。例如，企业已有的法务部可以作为监督层，人事部和业务部可以作为执行层，同时根据企业涉数据业务的规模大小、所处行业、数据体量等，决定是否单独设立数据合规部。我们结合项目中常见的企业组织结构类型，预设了适用于一般涉数据企业的数据安全管理组织架构，可供各企业参考：

随着数据安全的进一步推进，不同省市对数据安全提出了不同的要求，相关指引性文件也随之下发。以上海市杨浦区检察院联合杨浦工商会、信息服务行业协会发布的《企业数据合规指引》为例，在组织架构设计上，该指引建议企业设置最高责任人，并鼓励各类企业设置专门的数据合规管理部门，但是不建议由法务部门履行合规管理职能，建议一般可由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。由此可见，对于互联网电商平台、大型涉网涉数据企业、跨国企业、集团企业而言，参照指引设置专门的数据合规部门同时下设各类具体管理部门，是符合后续监管趋势所需。

（二）设计适用于本企业的数据安全管理制度

制度建设是搭建企业数据安全合规体系的重点关注要点，也使决定后续制度能否顺利运行的基础。从制度体系的安排上来说，从方针政策到针对某一具体细节的表单，数据安全管理制度也是一个自上而下的结构。

每个企业的具体情况千差万别，数据制度作为企业内部制度需要与企业实际情况紧密结合，根据《数据安全法》等的普适性规定，无论企业出于何种行业，在日常运营中涉及数据处理行为的，则数据安全管理制度至少应包含四个层面的制度。

1. 方针政策——纲领性文件

方针政策属于企业数据安全制度的纲领性文件，原则上包含数据合规的总体目标、基本原则、法规遵从等具有纲领性内容，在具体制度中通常体现为《数据安全管理办法》。

2. 管理规范——数据安全的基本制度

管理规范是在方针政策基础上，将一级方针政策制定的的总体目标及基本原则，根据应当遵循的法律法规，落实为用以规范企业经营管理的基本制度和具体规范。管理规范通常包含三个层面，我们对重要程度高的管理规范、依据的法律及基本内容列举如下：

其中，数据安全风险防范规范除上图所列几个关键规范外，企业亦可根据实际情况和业务所需，相应订立《合作伙伴数据监管规范》（适用于存在较多数据共享、委托处理、提供情形的业务领域）、《跨境数据流动管理规范》（适用于跨国企业集团、涉及外贸业务的企业）、《内容审查管理规范》（适用于运营互联网电商平台、在线社交平台、内容交互平台等的企业）等。

我们以数据安全风险防范中最为重要、每家企业原则上都必须具备的《数据分类分级管理规范》、《全流程数据安全管理规范》、《企业员工管理规范》为例：

（1）《数据分类分级管理规范》

数据分类分级是开展全流程数据安全管理、安全风险识别和处置的大前提，结合监管要求和企业实际需要，做好数据分类分级是其他多项数据安全制度设计的前提。

《数据安全法》、《个人信息保护法》对于企业一般数据、一般个人信息、个人敏感信息提出了不同的合规要求，例如，处理敏感个人信息应当取得个人的单独同意，处理其他数据和个人信息则无该等“单独同意”的要求。

因此，企业可以对内部数据进行分级管理，对于敏感个人信息、关键信息基础设施经营者收集的数据、重要数据、关键经营数据进行采取较高规格的管理要求，对于其他一般业务数据则无需设置过高的安全管理标准，一方面可以避免企业在数据安全管理上承担不必要的负累，另一方面灵活分层、分级管理也有利于企业数据的全面应用、提高数据价值。

（2）《全流程数据安全管理规范》

《全流程数据安全管理规范》规定了企业在数据收集、使用、加工、提供、委托处理、共享、存储、删除销毁整个流程中的合规要求，贯穿企业数据处理的始终，该项制度不仅仅涉及到条款的设计，还需注意与实际业务运营的匹配。

以互联网企业的涉网产品为例，在《全流程数据安全管理规范》条款设计层面，需注意遵循“最小必要原则”，设计规范中需要收集的数据类型和范围；同时也需要遵守“数据主体授权同意”的规定，取得数据主体的同意。在实际业务操作层面，以公司业务需求通过公司网站、APP、小程序等互联网方式收集数据为例，在收集数据的功能上线前需要由业务部门确定收集数据的范围、方式、使用目的等，并由数据合规部门和法务部门审核需求合法性，确认合规的由数据合规部门批准并备案，收集数据的功能上线时，需配套收集、使用规则，例如“用户协议”“隐私政策”等，实现企业内部、外部的全流程数据安全，同时还需要运维IT部门通过技术手段保障数据安全。

（3）《企业员工管理规范》

员工是企业数据安全体系落地的“尖头兵”，企业设计的数据安全合规体系能否真正实施、发挥作用，取决于员工能否按照既定制度执行。《企业员工管理规范》规定了员工在处理企业数据时的应为和不为，是整个数据安全体系落地的关键性文件。

以涉数据岗位员工的管理为例，在规则层面建议设立最小授权的访问控制策略，限制员工只能访问职责所需的最小必要的数据。在实际操作层面，入职阶段可要求涉数据岗位员工签署《数据合规承诺书》；在职阶段可以由企业配备工作电脑，并由运维IT部门设置最小授权的访问权限、禁止对外传输功能等，超权限处理数据需要事先报告并获取授权，并对存储重要数据的办公地点监控；离职阶段应及时收回该等员工的电脑设备，运维IT部门应及时终止离职员工的所有访问权限。

（4）实施细则——解决落地难

实施细则是将管理制度中无法涵盖的具体工作安排，以具体操作流程或执行指南等细则方式展现，以解决“落地难”问题。通常在企业中，可能会包括《财务数据管理实施细则》、《第三方人员管理实施细则》、《办公机房安全管理实施细则》等。

以《财务数据管理实施细则》为例，由于财务数据属于企业涉密数据，一旦泄露可能引发较大经济损失，可针对财务部门不同职级员工查看财务数据的范围、权限、其他员工查询财务数据的审批流程、财务部门员工离职审计等做详细规定，以明确财务数据安全维护具体职责归属。

（5）各类表单——对应具体执行程序

各类表单是数据安全管理制度的重要工具，针对管理制度、实施细则在执行过程中产生的各类报表、记录、报告等，采用定制模板或其他方式确保前后内容的一致性以及记录、阅读、保存的便利性。通常在企业中，可能会包括《访问控制记录表》、《数据合规承诺书》》、《数据安全培训考核表》等。例如，《访问控制记录表》可设置身份认证、权限管控、审批流程、查询记录等内容，以便做好重要数据访问的留痕。

搭建企业数据安全管理制度的金字塔是企业数据安全合规工作的起点，而非终点，能否让制度在企业日常管理中顺利运行、发挥应有效用，还需企业做好进一步运行中的监测和评估，以及对于制度的管理和维护。我们将在后续文章中继续对这一问题进行落地层面的梳理，以期为企业的数据安全合规体系搭建有所助益。

本文作者：

指导合伙人：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。